Отримайте відкриті ключі, які я підписав

Я намагаюся зрозуміти, як зробити наступне в одній команді.

У мене є ISO-образ разом із файлом його підпису * .sig. Я спробував перевірити це через GnuPG 2, але він повідомив про відсутність відкритого ключа, даючи мені його відбиток. Я успішно дістав ключ, використовуючи наступне

gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>

але коли я перевірив ключ

gpg2 --edit-key <KEY ID>

слідом за ним

gpg> check

Я отримав це повідомлення:

27 signatures not checked due to missing keys

Як я можу отримати всі ці ключі, щоб перевірити, чи надійний у мене ключ?

Вам не вистачає ключів для підпису ISO, але ключі, які видавали сертифікати на ключ, який підписав зображення.

GnuPG не рекурсивно завантажує інші ключі, вам доведеться це зробити самостійно (наприклад, запустивши командний рядок, як той, який ви запропонували в коментарях). Але майте на увазі, що сертифікати, надані іншими ключами, вже не підтверджують дійсність ключа, дуже просто створити цілі мережі ключів, які навіть імітують реальну мережу довіри OpenPGP, як це виконується в атаці Evil 32 . Якщо ви хочете перевірити якийсь ключ, перевіривши сертифікати, завжди будуйте довірчий шлях, який закінчується вашим власним ключем (або іншим ключем, який ви підтвердили через інший носій, наприклад, зустрівшись із людиною).